CVE-2026-41080 漏洞总结 漏洞概述 漏洞名称:Hash Flooding(哈希洪水攻击) 描述:该漏洞涉及对哈希表处理机制的改进,旨在防止攻击者通过构造特定的输入导致哈希冲突,从而引发拒绝服务(DoS)或性能下降。 关联 Issue:#47 影响范围 受影响软件:libexpat (Expat XML Parser) 受影响版本:2.7.6 及更早版本 修复版本:2.7.6 (ETA 2026-05-xx) 修复方案 核心措施: 1. 熵源增强:从 4 字节增加到 16 字节,用于哈希函数的随机化,增加攻击者预测哈希冲突的难度。 2. 代码重构: 引入内部标志 用于控制哈希行为。 优化 函数,迁移哈希盐存储到更大的结构体中。 移除不必要的 强制转换。 3. API 变更: 引入新的 API 函数 。 新增 标志位,用于启用熵调试或控制哈希行为。 4. 文档更新: 记录 需要非 NULL 解析器。 改进 XML 语法文档。 记录 CVE-2026-41080 的修复细节。 POC/利用代码 页面中未包含具体的 POC 或攻击利用代码。